15.12.2025
1 хв
439
Активна шкідлива кампанія під назвою GhostPoster використовує нестандартну техніку зараження браузерів Firefox, приховуючи зловмисний JavaScript безпосередньо в PNG-логотипах розширень. За даними дослідників, щонайменше 50 тисяч користувачів уже встановили скомпрометовані аддони, не підозрюючи про зараження.
Дослідження компанії Koi Security показало, що щонайменше 17 розширень Firefox були змінені таким чином, щоб виконувати прихований шкідливий код. Атака базується на стеганографії: зловмисний loader вбудовується у байти PNG-файлу логотипа розширення, який браузер автоматично завантажує під час запуску.
Після встановлення розширення код не активується одразу. У більшості випадків він залишається неактивним до 48 годин і завантажує корисне навантаження лише приблизно у 10% сесій. Така поведінка суттєво ускладнює виявлення атаки стандартними засобами безпеки.
Скомпрометовані розширення дозволяють зловмисникам отримати повний контроль над браузером: перехоплювати та підмінювати партнерські посилання, впроваджувати трекінг, видаляти security-заголовки сайтів і підтримувати постійний зв’язок із командно-керівними серверами.
Початковою точкою зараження часто стають «безкоштовні VPN»-розширення для Firefox, але серед скомпрометованих аддонів також виявлені перекладачі, погодні сервіси, блокувальники реклами та інші популярні інструменти. Усі вони на момент виявлення залишалися доступними в офіційному каталозі Firefox Add-ons.
Експерти з безпеки зазначають, що GhostPoster є прикладом нової хвилі атак, які жертвують масштабом заради максимальної непомітності. Використання відкладеної активації та прихованих каналів доставки робить такі кампанії майже невидимими для класичних систем моніторингу.
GhostPoster демонструє, що навіть довірена екосистема браузерних розширень може бути використана як канал для прихованої монетизації та компрометації користувачів. Кампанія підкреслює необхідність мінімізації кількості встановлених розширень і регулярного аудиту навіть популярних аддонів.
